Hoy, el Grupo de Análisis de Amenazas de Google ha revelado una vulnerabilidad crítica en Windows en un post público en el blog de seguridad de la compañía. El bug en sí mismo es muy específico, y permite a los atacantes escapar de las sandboxes de seguridad a través de una falla en el sistema win32k. Es tan serio como para ser categorizado como crítico, y de acuerdo a Google está siendo aprovechado activamente. Como resultado, Google lo ha hecho público solo 10 días después de informar del bug a Microsoft, pero antes de que se haya podido programar y lanzar un parche para corregirlo. El resultado es que, mientras que Google ya ha lanzado un parche para proteger a los usuarios de Chrome, el propio Windows sigue siendo vulnerable. Y, ahora, todo el mundo lo sabe.

google

La revelación de Google provee de tan solo una descripción general del bug, dando a los usuarios suficiente información para reconocer un posible ataque sin hacer fácil a los criminales descubrir cómo replicarlo. Aprovecharse del bug también depende de un exploit de Adobe Flash, para lo cual la compañía también ha lanzado un parche. Aun así, simplemente el saber que el bug existe va a animar a un montón de delincuentes a buscar maneras posibles de aprovecharse de él en ordenadores que aún no hayan actualizado su Flash.

En declaraciones a VentureBeat, Microsoft ha criticado duramente la revelación. «Con la revelación de hoy que ha hecho Google, se ha puesto en peligro a los consumidores», ha dicho un portavoz de Microsoft. «Recomendamos que los consumidores usen Windows 10 y el navegador Microsoft Edge para su mejor protección.»

El breve periodo de gracia ocurre de acuerdo a la política de Google que se puso en vigor en 2013, que permite que se revelen vulnerabilidades críticas solo siete días después de que se hayan informado al vendedor. En el momento, varios investigadores criticaron la política como demasiado dura, argumentando que siete días no era tiempo suficiente para responder debidamente a una vulnerabilidad compleja. Esta es la invocación más importante de la política en los tres años que lleva en vigor, aunque los ingenieros de Google han defendido que es necesaria dado que se están aprovechando del bug activamente.

«Animamos a los usuarios a verificar que tienen actualizado Flash, y a hacerlo manualmente si aún no se ha descargado automáticamente», recomienda el post de Google, «y aplicar los parches de Windows tan pronto como Microsoft los saque.»